EN ESTA PÁGINA
Ejemplo: Configuración de políticas jerárquicas para limitar las tasas de servicios en un entorno estático
En este ejemplo, se muestra cómo configurar un aplicador de políticas jerárquico y aplicarlo al tráfico de capa 2 de entrada en una interfaz lógica en un enrutador de la serie MX.
Requisitos
Antes de comenzar, asegúrese de que su entorno cumpla con los siguientes requisitos:
La interfaz en la que se aplica el regulador de políticas jerárquico es una interfaz alojada en un enrutador de la serie MX.
No se aplica ningún otro aplicador de políticas a la entrada de la interfaz en la que aplique el regulador de políticas jerárquico.
Usted sabe que, si aplica el regulador de política jerárquico a una interfaz lógica en la que también se aplica un filtro de entrada, el regulador de política se ejecuta primero.
Descripción general
En este ejemplo, configure un aplicador de políticas jerárquico y lo aplique al tráfico de capa 2 de entrada en una interfaz lógica. En la tabla 1 se describen los niveles de jerarquía en los que puede configurar y aplicar políticas jerárquicas en interfaces lógicas y físicas.
Configuración del aplicador de políticas |
Aplicación de capa 2 |
Puntos clave |
|---|---|---|
| Policía jerárquica Limita la velocidad jerárquicamente al tráfico de entrada de capa 2 para todas las familias de protocolos. No se puede aplicar al tráfico de salida, al tráfico de capa 3 ni a un nivel de protocolo específico de la jerarquía de interfaces. Compatible con interfaces en concentradores de puertos densos (DPC) en enrutadores de la serie MX. |
||
Componentes de políticas agregados y premium de un policía jerárquico: [edit dynamic-profiles profile-name firewall]
hierarchical-policer policer-name {
aggregate {
if-exceeding {
bandwidth-limit bps;
burst-size-limit bytes;
}
then {
discard;
forwarding-class class-name;
loss-priority supported-value;
}
}
premium {
if-exceeding {
bandwidth-limit bps;
burst-size-limit bytes;
}
then {
discard;
}
}
}
|
Opción A (interfaz física): se aplica directamente al tráfico de entrada de capa 2 en una interfaz física: [edit dynamic-profiles profile-name interfaces]
interface-name {
layer2-policer {
input-hierarchical-policer policer-name;
}
}
|
Limitar la velocidad jerárquicamente del tráfico de entrada de capa 2 para todas las familias de protocolos e interfaces lógicas configuradas en una interfaz física. Incluya la instrucción de
Nota:
Si aplica un regulador de políticas jerárquico en una interfaz física, no puede aplicar también un regulador de políticas jerárquico a ninguna de las interfaces lógicas miembro. |
Opción B (interfaz lógica): se aplica directamente al tráfico de entrada de capa 2 en una interfaz lógica: [edit dynamic-profiles profile-name interfaces]
interface-name {
unit unit-number {
layer2-policer {
input-hierarchical-policer policer-name;
}
}
}
|
Límite de velocidad jerárquico para el tráfico de entrada de capa 2 para todas las familias de protocolos configuradas en una interfaz lógica específica. Incluya la instrucción de
Nota:
Debe configurar al menos una familia de protocolos para la interfaz lógica. |
|
El aplicador de políticas se aplica a la interfaz lógica ge-1/2/0.0 de Gigabit Ethernet, la cual se configura para el tráfico IPv4. Cuando se aplica el regulador de políticas jerárquico a la interfaz lógica, el tráfico IPv4 tiene una velocidad limitada jerárquicamente. Si decide aplicar el aplicador de política jerárquico a la interfaz física ge-1/2/0, la regulación jerárquica también se aplica al tráfico IPv4 en toda la interfaz lógica.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de un perfil dinámico básico para la administración de suscriptores
- Configuración de las interfaces
- Configuración del filtro de firewall
- Configuración de las clases de reenvío
- Configuración del aplicador de políticas jerárquico
- Aplicación del aplicador de políticas jerárquico al tráfico de entrada de capa 2 en una interfaz física o lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, luego, pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set dynamic-profiles basic-profile set dynamic-profiles basic-profile interfaces “$junos-interface-ifd-name” set dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name" unit “$junos-underlying-interface-unit” set dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name" unit $junos-underlying-interface-unit family inet set dynamic-profiles interfaces ge-1/2/0 unit 0 family inet address 203.0.113.80/31 set dynamic-profiles basic-profile firewall family inet filter hierarch-filter set dynamic-profiles basic-profile firewall family inet filter hierarch-filter interface-specific set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 from precedence critical-ecp protocol set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 from protocol tcp set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 then hierarchical-policer hp1-share filter-specific set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 from precedence internet-control set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 from protocol tcp set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 then hierarchical-policer hp2-share set class-of-service forwarding-classes class fc0 queue-num 0 priority high policing-priority premium set class-of-service forwarding-classes class fc1 queue-num 1 priority low policing-priority normal set class-of-service forwarding-classes class fc2 queue-num 2 priority low policing-priority normal set class-of-service forwarding-classes class fc3 queue-num 3 priority low policing-priority normal set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem aggregate if-exceeding bandwidth-limit 10m burst-size-limit 100k set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem aggregate then forwarding-class fc1 set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem premium if-exceeding bandwidth-limit 2m burst-size-limit 50k set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem premium then discard set dynamic-profiles basic-profile interfaces ge-1/2/0 unit 0 layer2-policer input-hierarchical-policer policer-agg-prem
Configuración de un perfil dinámico básico para la administración de suscriptores
Procedimiento paso a paso
Un perfil dinámico es un conjunto de características, definidas en un tipo de plantilla, que se puede utilizar para proporcionar acceso dinámico de suscriptor y servicios para aplicaciones de banda ancha. Estos servicios se asignan dinámicamente a las interfaces. Un perfil básico debe contener un nombre de perfil y tener un nombre de variable de interfaz (como $junos-interface-ifd-name) incluido en el [edit dynamic-profiles profile-name interfaces nivel de jerarquía y un nombre de variable de interfaz lógica (como $junos-underlying-interface-unit or $junos-interface-unit) en el [edit dynamic-profiles profile-name interfaces variable-interface-name unit] nivel de jerarquía.
Cree el nuevo perfil dinámico.
[edit] user@host# set dynamic-profiles basic-profile
Defina la
interface-nameinstrucción variable con la variable interna $junos-interface-ifd-name utilizada por el enrutador para hacer coincidir el nombre de interfaz de la interfaz receptora.[edit dynamic-profiles basic-profile] user@host# set interfaces “$junos-interface-ifd-name”
Defina la
variable-interface-name unitinstrucción con la variable interna.Cuando haga referencia a una interfaz existente, especifique la $junos-underlying-interface-unit variable utilizada por el enrutador para hacer coincidir el valor unitario de la interfaz receptora.
Al crear interfaces dinámicas, especifique la $junos-interface-unit variable utilizada por el enrutador para generar un valor unitario para la interfaz.
[edit dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name"] user@host# set unit $junos-underlying-interface-unit
o bien
[edit dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name"] user@host# set unit $junos-interface-unit
Defina el tipo de dirección de familia (inet para IPv4) para la $junos-interface-unit variable.
[edit dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name" unit $junos-underlying-interface-unit] user@host# set family inet
Resultados
Ingrese el show dynamic-profiles comando de configuración para confirmar la configuración del perfil dinámico. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregirla.
[edit]
user@host# show dynamic-profiles
dynamic-profiles {
basic-profile {
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-underlying-interface-unit" {
family inet;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de las interfaces
Procedimiento paso a paso
Defina las interfaces físicas y lógicas para este ejemplo de policía jerárquico.
Configure la interfaz física.
[edit dynamic-profiles basic-profile] user@host# set interfaces ge-1/2/0
Configure la interfaz lógica como la unidad 0 con su interfaz de familia de protocolos IPv4 (inet).
[edit dynamic-profiles basic-profile interfaces ge-1/2/0] user@host# set unit 0 family inet address 203.0.113.80/31
Nota:Si aplica un aplicador de políticas de capa 2 a esta interfaz lógica, debe configurar al menos una familia de protocolos.
Resultados
Ingrese el comando de configuración para confirmar la show dynamic-profiles basic-profile interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregirla.
[edit]
user@host# show dynamic-profiles basic-profile interfaces
ge-1/2/0 {
unit 0 {
family inet {
address 203.0.113.80/31;
}
}
}
Configuración del filtro de firewall
Procedimiento paso a paso
Para configurar un aplicador de políticas jerárquico como una acción de filtro, primero debe configurar un filtro de firewall.
Configure el tipo de dirección de familia (inet para IPv4) para el filtro de firewall y especifique el nombre del filtro.
Le recomendamos que asigne al filtro un nombre que indique el propósito del filtro.
[edit dynamic-profiles basic-profile] user@host# set firewall family inet filter hierarch-filter
Para anular la agregación de los contadores y las acciones de política, y hacer que cada función de contador o política sea específica para cada aplicación de interfaz, incluya la
interface-specificinstrucción en el filtro.[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter] user@host# set interface-specific
Especifique los nombres de término para el filtro.
Haga que el nombre de cada término sea único y represente cuál es su función.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter] user@host# set term match-ip1 user@host# set term match-ip2
En cada término de filtro de firewall, especifique las condiciones usadas para hacer coincidir los componentes de un paquete.
Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con el campo de precedencia IP critical-ecp (0xa0) protocol y aplique el regulador de política jerárquico como una acción de filtro.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1] user@host# set from precedence critical-ecp protocol user@host# set from protocol tcp
Especifique las acciones que se deben realizar cuando el paquete coincida con todas las condiciones del primer término. Habilite todos los reguladores de policía jerárquicos de un filtro para compartir la misma instancia de regulador de policía en el motor de reenvío de paquetes.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1] user@host# set then hierarchical-policer hp1-share filter-specific
Configure el segundo término para que coincida con los paquetes IPv4 recibidos a través de TCP con el campo de precedencia IP internet-control (0xc0) y aplique el regulador de política jerárquico como una acción de filtro.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2] user@host# set from precedence internet-control user@host# set from protocol tcp
Especifique las acciones que se deben realizar cuando el paquete coincida con todas las condiciones del segundo término.
[edit dynamic-profiles basic-profile firewall family inet filter inet-filter term match-ip2] user@host# set then hierarchical-policer hp2-share
Resultados
Ingrese el comando de configuración para confirmar la show dynamic-profiles basic-profile firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregirla.
[edit]
user@host# show dynamic-profiles basic-profile firewall
family inet {
filter hierarch-filter {
interface-specific;
term match-ip1 {
from {
precedence critical-ecp protocol;
protocol tcp;
}
then hierarchical-policer hp1-share;
}
term match-ip2 {
from {
precedence internet-control;
protocol tcp;
}
then hierarchical-policer hp2-share;
}
}
}
Configuración de las clases de reenvío
Procedimiento paso a paso
Defina las clases de reenvío a las que se hace referencia como acciones de política agregada. Para que los reguladores de políticas jerárquicos funcionen, el tráfico de entrada debe clasificarse correctamente en buckets premium y no premium. Se requiere alguna configuración de clase de servicio (CoS) porque el regulador de políticas jerárquico debe ser capaz de separar el tráfico de reenvío premium/acelerado (EF) del tráfico que no es premium/no EF.
Habilite la configuración de las clases de reenvío.
[edit] user@host# set class-of-service forwarding-classes
Defina las clases de reenvío de CoS para incluir la designación de la clase de reenvío prémium. El valor predeterminado es la clase de reenvío asociada con el tráfico de EF.
[edit class-of-service forwarding-classes] user@host# set class fc0 queue-num 0 priority high policing-priority premium user@host# set class fc1 queue-num 1 priority low policing-priority normal user@host# set class fc2 queue-num 2 priority low policing-priority normal user@host# set class fc3 queue-num 3 priority low policing-priority normal
Resultados
Ingrese el show class-of-service comando de configuración para confirmar la configuración de las clases de reenvío a las que se hace referencia como acciones de aplicación de política agregada. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregirla.
[edit]
user@host# show class-of-service
forwarding-classes {
class fc0 queue-num 0 priority high policing-priority premium;
class fc1 queue-num 1 priority low policing-priority normal;
class fc2 queue-num 2 priority low policing-priority normal;
class fc3 queue-num 3 priority low policing-priority normal;
}
Configuración del aplicador de políticas jerárquico
Procedimiento paso a paso
Configure los componentes de políticas agregados y premium de un regulador de políticas jerárquico.
Habilite la configuración del regulador de políticas jerárquico.
[edit dynamic-profiles basic-profile] user@host# set firewall hierarchical-policer policer-agg-prem
Configure el aplicador de políticas agregado para que tenga un límite de ancho de banda establecido en 10 Mbps, un límite de tamaño de ráfaga establecido en 100 KB y una acción no conforme establecida para cambiar la clase de reenvío a fc1.
[edit dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem] user@host# set aggregate if-exceeding bandwidth-limit 10m burst-size-limit 100k user@host# set aggregate then forwarding-class fc1
Nota:En el caso de los agentes de políticas agregados, las acciones configurables para un paquete en un flujo no conforme son descartar el paquete, cambiar la prioridad de pérdida o cambiar la clase de reenvío.
Configure el regulador de políticas premium para que tenga un límite de ancho de banda establecido en 2 Mbps, un límite de tamaño de ráfaga establecido en 50 KB y una acción no conforme establecida para descartar paquetes.
[edit dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem] user@host# set premium if-exceeding bandwidth-limit 2m burst-size-limit 50k user@host# set premium then discard
Nota:El límite de ancho de banda para el regulador de políticas premium no debe ser mayor que el del regulador de políticas agregado. Para los reguladores de políticas premium, la única acción configurable para un paquete en un flujo de tráfico no conforme es descartar el paquete.
Resultados
Ingrese el show dynamic-profiles basic-profile firewall comando de configuración para confirmar la configuración del regulador de políticas jerárquico. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregirla.
[edit]
user@host# show dynamic-profiles basic-profile firewall
hierarchical-policer policer-agg-prem {
aggregate {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 100k;
}
then {
forwarding-class fc1;
}
}
premium {
if-exceeding {
bandwidth-limit 2m;
burst-size-limit 50k;
}
then {
discard;
}
}
}
Aplicación del aplicador de políticas jerárquico al tráfico de entrada de capa 2 en una interfaz física o lógica
Procedimiento paso a paso
Puede aplicar políticas directamente a una interfaz o aplicarlas a través de un filtro para afectar solo al tráfico coincidente. En la mayoría de los casos, puede invocar una función de políticas en la entrada, la salida o en ambas direcciones.
En el caso de las interfaces físicas, un policía jerárquico utiliza una única instancia de policía para limitar la velocidad de todas las interfaces lógicas y familias de protocolos configuradas en una interfaz física, incluso si las interfaces lógicas tienen familias mutuamente excluyentes, como inet o bridge.
En el caso de las interfaces lógicas, un policía jerárquico puede controlar el tráfico de varias familias de protocolos sin necesidad de una instancia independiente de un policía para cada una de estas familias en la interfaz lógica.
Para limitar jerárquicamente la velocidad del tráfico de entrada de capa 2 para el tráfico IPv4 en la interfaz lógica ge-1/2/0.0, haga referencia al aplicador de políticas desde la configuración de interfaz lógica.
Configure la interfaz lógica.
[edit dynamic-profiles basic-profile] user@host# set interfaces ge-1/2/0 unit 0
Cuando aplique un aplicador de políticas al tráfico de capa 2 en una interfaz lógica, debe definir al menos una familia de protocolos para la interfaz lógica.
Aplique el aplicador de políticas a la interfaz lógica.
[edit dynamic-profiles basic-profile interfaces ge-1/2/0 unit 0] user@host# set layer2-policer input-hierarchical-policer policer-agg-prem
Como alternativa, para limitar jerárquicamente la velocidad del tráfico de entrada de capa 2 para todas las familias de protocolos y para todas las interfaces lógicas configuradas en la interfaz física ge-1/2/0, haga referencia al aplicador de políticas desde la configuración de la interfaz física.
Resultados
Ingrese el show dynamic-profiles basic-profile interfaces comando de configuración para confirmar la configuración del regulador de políticas jerárquico. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregirla.
[edit]
user@host# show dynamic-profiles basic-profile interfaces
ge-1/2/0 {
unit 0 {
layer2-policer {
input-hierarchical-policer policer-agg-prem;
}
family inet {
address 203.0.113.80/31;
}
}
}
Verificación
Confirme que la configuración funcione correctamente.
- Visualización de estadísticas de tráfico para la interfaz
- Mostrar el número de paquetes controlados por el agente de policía especificado
Visualización de estadísticas de tráfico para la interfaz
Propósito
Compruebe el flujo de tráfico a través de la interfaz física.
Acción
Utilice el comando del modo operativo para la show interfaces interfaz física ge-1/2/0 e incluya la detail opción o extensive .
user@host> show interfaces ge-1/2/0 extensive
Physical interface: ge-1/2/0, Enabled, Physical link is Down
Interface index: 156, SNMP ifIndex: 630, Generation: 159
Link-level type: Ethernet, MTU: 1514, MRU: 1522, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled,
Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online
Pad to minimum frame size: Disabled
Device flags : Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Schedulers : 0
Hold-times : Up 0 ms, Down 0 ms
Current address: 00:00:5E:00:53:4c, Hardware address: 00:00:5E:00:53:4c
Last flapped : 2014-11-10 13:36:25 EST (01:26:30 ago)
Statistics last cleared: Never
Traffic statistics:
Input bytes : 0 0 bps
Output bytes : 42 0 bps
Input packets: 0 0 pps
Output packets: 1 0 pps
IPv6 transit statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Dropped traffic statistics due to STP State:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Input errors:
Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0, L3 incompletes: 0, L2 channel errors: 0, L2 mismatch timeouts: 0,
FIFO errors: 0, Resource errors: 0
Output errors:
Carrier transitions: 0, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0, FIFO errors: 0, HS link CRC errors: 0, MTU errors: 0,
Resource errors: 0
Egress queues: 8 supported, 8 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 0 0 0
1 0 0 0
2 0 0 0
3 0 0 0
4 0 0 0
5 0 0 0
6 0 0 0
7 0 0 0
Queue number: Mapped forwarding classes
0 best-effort
1 expedited-forwarding
2 assured-forwarding
3 network-control
4 be1
5 ef1
6 af1
7 nc1
Active alarms : LINK
Active defects : LINK
MAC statistics: Receive Transmit
Total octets 0 0
Total packets 0 0
Unicast packets 0 0
Broadcast packets 0 0
Multicast packets 0 0
CRC/Align errors 0 0
FIFO errors 0 0
MAC control frames 0 0
MAC pause frames 0 0
Oversized frames 0
Jabber frames 0
Fragment frames 0
VLAN tagged frames 0
Code violations 0
Total errors 0 0
Filter statistics:
Input packet count 0
Input packet rejects 0
Input DA rejects 0
Input SA rejects 0
Output packet count 0
Output packet pad count 0
Output packet error count 0
CAM destination filters: 0, CAM source filters: 0
Autonegotiation information:
Negotiation status: Incomplete
Packet Forwarding Engine configuration:
Destination slot: 0 (0x00)
CoS information:
Direction : Output
CoS transmit queue Bandwidth Buffer Priority Limit
% bps % usec
0 best-effort 95 950000000 95 0 low none
3 network-control 5 50000000 5 0 low none
Interface transmit statistics: Disabled
Significado
La sección de salida de comando para Traffic statistics enumera la cantidad de bytes y paquetes recibidos y transmitidos en la interfaz.
Mostrar el número de paquetes controlados por el agente de policía especificado
Propósito
Verifique el número de paquetes evaluados por el aplicador de políticas. No se admiten contadores de policía premium.
Acción
Utilice el comando del show policer modo operativo y, opcionalmente, especifique el nombre del agente de policía policer-agg-prem. La salida del comando muestra el número de paquetes evaluados por el aplicador de políticas especificado en cada dirección.
user@host> show policer policer-agg-prem Policers: Name Bytes Packets policer-agg-prem-ge-1/2/0.0-inet-i 10372300 103723
El -inet-i sufijo denota un aplicador de política aplicado al tráfico de entrada IPv4. En este ejemplo, el aplicador de política se aplica solo al tráfico de entrada.
Significado
La salida del comando muestra el número de paquetes evaluados por el aplicador de políticas especificado en cada dirección.